Firewall Juniper
Transcript
Firewall Juniper
Test di consumatori Test di consumatori Firewall Le sue qualità? Aziende Italia S.r.l. Via San Gondenzo, 109 00189 Roma Italia http://www.webperte.com Federico d'Ormea Responsabile sicurezza servizi hosting e server dedicati Il nome del firewall e il suo produttore: Foritnet Fortigate 100A. Pensi che è stata una buona scelta? Assolutamente è soddisfacente. A mio avviso resta una scelta ottima per tutte quelle realtà dove si ha bisogno di una soluzione di sicurezza perimetrale completa con servizi supplementari al firewalling classico. Con il fortigate, in particolare con l'ultima release del firmware, si ha a disposizione non solo un ottimo appliance dedicato alla sicurezza, ma anche un potente strumento di networking in generale e questo senza dover sopportare costi allucinanti. Il suo prezzo è adeguato alle funzioni? Se considerassimo il costo separato di un firewal, di un sistema IDS/IPS, di un antivirus, di un antispam (sempre perimetrale), di un prodotto di web content filtering e di un concentratore VPN over SSL, sicuramente dovremmo considerare una spesa maggiore rispetto al prodotto di cui scriviamo. È in accordo con le vostre aspettative? Direi proprio di si. La nostra azienda fornisce soluzioni di hosting, server dedicati e server virtuali quindi siamo quotidianamente soggetti ai più svariati attacchi, dai più semplici a quelli più complessi. Inoltre l'idea di racchiudere in un unico apparato anche un supporto di web content filtering unitamente a servizi antispam e antivirus rende questo prodotto estremamente flessibile. Per queste ragioni non possiamo che esserne soddisfatti. 74 hakin9 Nº 2/2007 È un apparato con diverse funzionalità quali Firewalling - IDS - Antivirus – Antispam - Web Content Filtering e, cosa estremamente interessante, con la nuova versione del firmware è in grado anche di offrire la possibilità di VPN over SSL. L'apparecchio dispone di un sistema operativo proprietario che si chiama FortiOS. Molto apprezzabile l'interfaccia grafica che consente di operare a 360 gradi. Immancabile l'interfaccia testuale in SSH ma va detto che dalla GUI è possibile fare il 90% delle operazioni. Può operare in due modalità: TRASPARENTE e NAT/ ROUTE. A livello di connettività offre 4 porte switch, 2 porte DMZ e 2 Porte wan. Complessivamente quindi è in grado di offrire la gestione di 2 DMZ separate ad esempio per separare server e servizi Web e Email e 2 connettività separate. Dispone di 2 connettività separate, opzione particolarmente utile in tutti quei casi in cui si vogliano creare strutture ridondate o di Load Balancing del traffico. L'apparato offre anche tutta una serie di opzioni legate al logging del traffico. Nel caso di una rete in cui il firewall è attivo subito dietro la connettività, tramite le funzioni di gestione dei log è possibile fare delle verifiche accuratissime distinguendo servizi e tipologie di traffico passante. Inoltre, con i modelli più grandi si possono affrontare discorsi HA dei firewall o di stack e usufruire di collegamenti anche in fibra ottica. I suoi difetti? Personalmente al Fortinet riscontro un solo difetto e cioé quello di non avere delle performance eccezionali in modalità Trasparente. Se però consideriamo che è insito nella natura dei firewall lavorare diciamo a livello 3 più che a livello 2 possiamo capire che si tratta di un difetto relativo. Inoltre, per esigenze diverse, il Fortinet dispone anche di sistemi proprietari di management e di gestione dei log. Il voto 1–5 (1– pessimo, 5– ottimo) «««« www.hakin9.org Firewall (una scelta meno ristrettiva nelle licenze sul numero degli utenti e prezzi leggermente più bassi sul manteinence potrebbe fargli guadagnare più fette di mercato). DiNets s.r.l. Francesco Aruzzoli Sede: ss 16 Adriatica 28/i 60027 Osimo (AN) ITALY Telefono: +39 071 7211234 Fax: +39 071 7213365 E-Mail: [email protected] Web: www.dinets.it Il voto 1-5 (1-pessimo, 5-ottimo): ««««« Pierpaolo Palazzoli SnortAttack Il nome del firewall e il suo produttore: Netscreen Firewall, Juniper Pensi che è stata una buona scelta? SI, come installatori, gestori e utilizzatori di queste soluzioni abbiamo riscontrato maggiori prestazioni, funzionalità, facilità d'uso, integrazione e personalizzazione rispetto alla concorrenza; il prodotto si presenta come un'appliance di dimensioni sempre molto contenute anche nelle versioni di fascia alta, pronto da installare e configurare. Il suo prezzo è adeguato alle sue funzioni? Sì, grazie ad un'ottima segmentazione del mercato dispone di vari modelli di prodotti con le funzionalità necessarie per ogni fascia di utenza (dalla piccola azienda a quella enterprise). È in accordo con le vostre aspettative? Sì, nel complesso il prodotto è ottimo dal punto di vista funzionale e buono dal punto di vista del supporto tecnico. Tutti i prodotti si presentano ben imballati, corredati di manuali cartacei sintetici ma efficaci, documentazione elettronica soddisfacente e con tutti gli accessori necessari per l'installazione. Le sue qualità? La nuova generazione dei firewall juniper grazie ai nuovi processori ASIC Gigascreen permette maggiori prestazioni e maggiore flessibilità, nelle versioni di fascia medio alta risulta essere la prima piattaforma integrata per il supporto di funzionalità Firewall, VPN e IDS/IDP (firewalling a livello 7) ; funzionalità complete, facile da gestire anche in architetture complesse, ottima modularità. Per il management centralizzato di più apparati dispone di un software (da acquistare separatamente) facile e potente da utilizzare che permette la gestione e la distrbuzione (programmate e/o per gruppi) di policy e configurazioni, aggiornamenti remoti di firmware e gestione con correlazione di log e report dettagliati. I suoi difetti? Nessun difetto di rilievo, potrebbe però migliorare le politiche sulle licenze di base degli utenti e del manteinence www.hakin9.org Il nome del firewall e il suo produttore: Netscreen modelli 25 e 5GT Pensi che è stata una buona scelta? Ottima, I firewall netscreen permettono di gestire tutte le funzionalità con frontend web, da linea di comando e NMS. L'approccio alle VPN è ben strutturato e particolareggiato, di modo da ottenere il massimo dalla crittografia IPSEC. La architettura del firewall è basata su HW ASIC permette di avere le massime prestazioni HW/SW. La parte di routing è in forte sviluppo data la fusione con Juniper, di pregevole interesse sono: l'opzione Dual Untrusted che permette la gestione di linee di backup, il source routing, VPN policy based e QOS su VPN. È in accordo con le vostre aspettative? Assolutamente si, a parere mio il firewall deve essere un oggetto che dopo l'installazione deve essere dimenticato l'unica attività deve essere l'aggiornamento delle policy. Il firewall non dovrebbe essere mai riavviato. Il netscreen queste qualità le implementa molto bene. Il suo prezzo è adeguato alle sue funzioni? Nei modelli ad alte prestazioni (ISG100...) si . Nei modelli base non sono accessibili a tutte le aziende ma di sicuro di superiore qualità alla media. Le sue qualità? Performance , configurabilità, continiutà di servizio, velocità grazie ad una archietettura asic. I suoi difetti? Il parser dell'interfaccia web non è impeccabile, alcune funzionalità dell'interfaccia web funziona solo con explorer. Il voto 1-5 (1-pessimo, 5-ottimo): «««« hakin9 Nº 2/2007 75 Test di consumatori Technomind S.p.A. via G.Galilei, 20124 Milano Italia www.technomind.it Stefano Maccaglia CSO e Responsabile del Technomind Security Center viale Città d'Europa, 681 00144 Roma Italia Il nome del firewall e il suo produttore: Cisco PIX 515E della Cisco e Netscreen 204 della Juniper Networks Pensi che èstata una buona scelta? Si, indubbiamente, entrambi sono stati un'ottima scelta. Il suo prezzo è adeguato alle sue funzioni? Si. Garantisce un'ottimo rapporto/prezzo prestazioni sia il PIX che i Netscreen. Il PIX offre un buon compromesso tra costi e caratteristiche, non ha alcune feature avanzate presenti in alcuni altri firewall commerciali, come ad esempio Check Point, ma per me un firewall è un firewall... se Cisco dovesse tentare di integrare feature aggiuntive senza un vero betatesting e un reale controllo (come capita per ISS o Check Point) è possibile che il firewall stesso non funzioni più così bene... Stesso discorso per il Netscreen, non a caso li ho scelti io... È in accordo con le vostre aspettative? Si. Anche in questo caso entrambi sono facili da installare (per chi ha esperienza) e facili da gestire. Non si possono mettere nelle mani di uno poco esperto. Le sue qualità? Per il PIX: Performance, facilità di installazione, e gestione. Il NETSCREEN è più ampio nella customizzazione, abbastanza semplice da gestire ed ha un'interfaccia meglio organizzata sia web che CLI. Un altro firewall che mi piace molto è ASTARO Security Linux, ma è fuori mercato per il costo troppo alto (secondo me). Ultimamente mi piacciono anche i prodotti della Stonesoft (Stonegate), ma ancora li sto testando e non posso darne un parere approfondito. I suoi difetti? Per il PIX: Un pò confusionario nella gestione delle ACL. Per il NETSCREEN: in modalità Trasparent ha volte mi ha dato qualche grattacapo. 76 hakin9 Nº 2/2007 Ho molti anni di configurazioni alle spalle e so che non sono semplici da impostare per chi è alle prime armi, ma se hai esperienza non hai molto altro da scegliere (nell'ambito commerciale). La carenza maggiore sia nei PIX che nei NETSCREEN è dovuta alla mancanza di scalabilità della soluzione di management. Mi spiego meglio... fin quando hai un paio di PIX o di Netscreen in azienda non ci sono molti problemi nel gestirli. Ti connetti via SSH e con la CLI li configuri... se però devi metterli in mano a persone meno esperte che chiedono la solita interfaccia grafica questi due prodotti sono un pò avari di features. In aggiunta se devi controllarne molti contemporaneamente allora diventa difficile gestirli in maniera umana, se non ricorrendo a software terze parti come SOLSoft che però costano molto. Il PIX ha il difetto che per filosofia si configura come un router (non a caso il suo software è stato sviluppato integrando quello dei Router), ovvero con le Access-list che però a volte diventano troppe e confusionarie... Il Netscreen ha invece qualche problema quando, lavorando in trasparent mode, si trova a scontrarsi con il forwarding di multicast o di altri protocolli anomali... Per il resto sia l'uno che l'altro sono molto affidabili. Il voto 1-5 (1-pessimo, 5-ottimo): (da notare che non ho ancora trovato il firewall perfetto e quindi il 5 non l'avrei dato a nessuno). PIX: ««««, NETSCREEN «««« RE@LITY NET – System Solutions S.n.c. La Consulenza nel Mondo dell'Informatica via Assarotti 4/1 16122 Genova www.realitynet.it Il nome del firewall e il suo produttore? Il firewall prodotto dalla 3COM. Il nome del prodotto e 3ComR OfficeConnectR ADSL Wireless 54 Mbps 11g Firewall Router. Il codice del prodotto è 3CRWDR101A-75. Pensi che è stata una buona scelta? È stata una buona scelta. Questo prodotto è assolutamente adeguato per un utilizzo in una realtà SOHO. Infatti integra diverse funzionalità, tra cui: connettività ADSL con supporto per ADSL 2+, connettività Wireless con supporto di WPA e WEP Encryption, Switch da 4 porte, Firewall. www.hakin9.org Firewall Il suo prezzo e adeguato alle sue funzioni? Il prezzo è molto economico (110 euro IVA inclusa - listino Novembre 2006) direi che è adeguato rispetto alle funzionalità che il prodotto offre. Ne sono soddisfatto. È in accordo con le vostre aspettative? Il prodotto offre buone garanzie di protezione da accessi indesiderati. Svolge adeguamente il suo ruolo sia per la protezione delle postazioni dedicate alla navigazione sia per un web server cui è collegato. Le sue qualità? Ottime funzionalità hackerpattern detection, stateful packet inspection e url filtering. I suoi difetti? La principale pecca del prodotto è dovuta al fatto che non supporta le VPN. L'altro difetto è la lentezza dell'accesso alla pagina di configurazione via web. Il voto 1-5 (1-pessimo, 5-ottimo)? «««« ziate dall'interno) e di utilizzare quei protocolli che come l'FTP necessitano di porte assegnate dinamicamente. Iptables consente inoltre di registrare molte delle informazioni contenute nei pacchetti, così come è possibile stabilire la frequenza con cui un certo evento debba essere registrato; ad esempio è possibile stabilire che 1 su 10 pacchetti che soddisfino un dato prerequisito siano registrati. Il software implementa il NAT sia sorgente che destinazione, nonché permette di effettuare elaborazioni sui pacchetti; è possibile modificarne alcuni campi IP come il TOS o il TTL. Permette di gestire i pacchetti in base al loro proprietario; per pacchetti generati dal firewall stesso è per esempio possibile stabilire regole in base all’utente che ha generato quel pacchetto. Mette a disposizione la possibilità di selezionare i pacchetti che verificano una data regola trasferendoli ad un’applicazione in userspace; questo consente di sviluppare codice, per la manipolazione dei pacchetti, in user-space invece che in kernel-space. Con iptables non è possibile ispezionare il campo dati dei pacchetti ed in questo senso non può essere considerato un application filtering firewall. Il suo prezzo è adeguato alle sue funzioni? Ez Conz Via Casola 12 80067 Sorrento (NA) P.Iva 05431661213 Tel & Fax +39 081 532 3696 email: [email protected] web: www.ezcons.com È un prodotto Open Source sotto licenza GNU GPL, quindi è gratuito, liberamente scaricabile dalla rete (www.netfilter.org). Per una media grande azienda che ha la figura dell'amministratore di rete è sicuramente il prodotto che deve essere adottato, in quanto non necessità di strabilianti caratteristiche hardware per funzionare (un personal computer di qualche anno fa va più che bene), ma semplicemente di un buon amministratore che possa sfruttare pienamente tutte le sue capacità. È in accordo con le vostre aspettative? Netfilter/IpTables 1.3.5, progetto Open Source sviluppato da Netfilter Core Team. È possibile installarlo su sistemi operativi basati sul Kernel Linux 2.4.X e 2.6.X Non è un prodotto semplice da gestire e da configurare, richiede un minino di esperienza in ambiente linux, quindi non è adatto sicuramente all'utenza domestica o a piccole aziende con pochi terminali; È un ottimo prodotto se aggiornato constantemente e configurato correttamente. Pensi che è stata una buona scelta? Le sue qualità? • • • • • I suoi difetti? Il nome del firewall e il suo produttore: Prodotto di punta per la sua flessibilità e configurabilità. Infatti può essere plasmato a proprio piacimento applicando regole di filtraggio in base a: Indirizzi sorgente o destinazione, Porta sorgente o destinazione, Tipo di protocollo (TCP, UDP, ICMP), Flag TCP (SYN, ACK, RST, PSH, FYN), Interfaccia d'ingresso o d'uscita. Offre la possibilità del connection-tracking ovvero di abilitare solo alcuni tipi di connessioni (ad esempio quelle ini- www.hakin9.org È gratuito e molto flessibile. Necessita di poche risorse hardware. Sul sito di riferimento è presente un'ottima guida dettagliata. Il maggior diffetto è che non esiste una versione per windows. Non esiste neanche un modulo per l'aggiornamento automatico. Il voto 1-5 (1-pessimo, 5-ottimo) ««««« hakin9 Nº 2/2007 77